Sanya_vl Опубликовано 6 ноября, 2008 Share Опубликовано 6 ноября, 2008 (изменено) Голспода помогите, гдето подхватил вирус, он отключил антивирус. При загрузки различных программ, вылетает ошибка, но программа продолжает работать. Плюс ко всему он еще изменил стартовую страницу в эксплорере на гугл. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar Изменено 6 ноября, 2008 пользователем Sanya_vl Ссылка на комментарий Поделиться на другие сайты More sharing options...
ТроПа Опубликовано 6 ноября, 2008 Share Опубликовано 6 ноября, 2008 Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файлы F:\WINDOWS\System32\Drivers\Beep.SYS F:\WINDOWS\system32\karna.dat f:\windows\system32\brastk.exe Нажмите по нему правой кнопкой мыши и выберите Copy to. Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу bpvtybnt расширение файла ttt. После этого Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Если какого-то файла не будет, приступайте к следующему пункту. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\WINDOWS\system32\userinit.exe',''); QuarantineFile('F:\WINDOWS\system32\karna.dat',''); DeleteService('Beep'); QuarantineFile('F:\WINDOWS\System32\Drivers\Beep.SYS',''); QuarantineFile('f:\docume~1\05a2~1\locals~1\temp\winlogon.exe',''); TerminateProcessByName('f:\docume~1\05a2~1\locals~1\temp\winlogon.exe'); QuarantineFile('f:\windows\system32\brastk.exe',''); TerminateProcessByName('f:\windows\system32\brastk.exe'); DeleteFile('f:\windows\system32\brastk.exe'); DeleteFile('f:\docume~1\05a2~1\locals~1\temp\winlogon.exe'); DeleteFile('F:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('F:\WINDOWS\system32\karna.dat'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Из папки AVZ файл 'quarantine.zip' вышлите на адрес newvirus@kaspersky.com, в письме укажите, что пароль на архив virus (AVZ его устанавливает самостоятельно) продублируйте отсылку на адрес 54712@rambler.ru Файлы скопированные при помощи IceSword поместите в архив под пароль virus и вышлите по тем же адресам с указанием пароля на архив. 2.Пофиксить в HijackThis следующие строчки O20 - AppInit_DLLs: karna.dat Повторите логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sanya_vl Опубликовано 6 ноября, 2008 Автор Share Опубликовано 6 ноября, 2008 Большое спасибо! Сейчас все сделаю и отпишушь потом. все сделал, файлы отправил. Антивирус запускается, но в процессах все еще висит brastk.exe и в автозагрузке он остался Опять стало вылазить сообщение в трее, что ваш компьютер заражен. икока-красныйперечеркнутый кружочек Ссылка на комментарий Поделиться на другие сайты More sharing options...
ТроПа Опубликовано 6 ноября, 2008 Share Опубликовано 6 ноября, 2008 Ну что же, ждём новых логов. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sanya_vl Опубликовано 6 ноября, 2008 Автор Share Опубликовано 6 ноября, 2008 Новые логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
kos1nus Опубликовано 7 ноября, 2008 Share Опубликовано 7 ноября, 2008 Новые логи а когда вы делали вторую партию логов? почему дата и время создания первых и вторых логов одинаковая? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sanya_vl Опубликовано 7 ноября, 2008 Автор Share Опубликовано 7 ноября, 2008 (изменено) Возможно я чтото перепутал, вот логи, сделал только что. Скачайте IceSword. Запустите программу. Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файлы Код F:\WINDOWS\System32\Drivers\Beep.SYS F:\WINDOWS\system32\karna.dat f:\windows\system32\brastk.exe Нажмите по нему правой кнопкой мыши и выберите Copy to. Выберите папку, куда Вы хотите скопировать файл и перед сохранением внизу bpvtybnt расширение файла ttt. После этого Нажмите по нему правой кнопкой мыши и выберите force delete. На запрос потверждения ответьте "да". Если какого-то файла не будет, приступайте к следующему пункту этих файлов теперь не видно с этой программы Brastk.exe теперь находится в папке window virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 7 ноября, 2008 пользователем Sanya_vl Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 8 ноября, 2008 Share Опубликовано 8 ноября, 2008 Выполнить в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('F:\WINDOWS\brastk.exe'); DeleteFile('f:\windows\system32\brastk.exe'); DeleteFile('msansspc.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Затем пофиксить: O4 - HKLM\..\Run: [brastk] brastk.exe Повторите логи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти